Синхронизация узла windows server 2016
Синхронизация времени важна для безопасности и корреляции событий. Иногда она применяется для реализации распределенных транзакций. Точность времени в нескольких компьютерных системах достигается за счет синхронизации. На синхронизацию может влиять ряд факторов, включая перезагрузки и сетевой трафик между источником времени и получающим сведения о времени компьютером.
Платформа Azure основана на инфраструктуре, работающей под управлением Windows Server 2016. В Windows Server 2016 реализованы улучшенные алгоритмы коррекции времени и синхронизации локальных часов с временем в формате UTC. Кроме того, в Windows Server 2016 улучшена работа службы VMICTimeSync, которая управляет синхронизацией виртуальных машин с узлом для получения точного времени. К числу улучшений относится более точное исходное время при запуске или восстановлении виртуальной машины, а также коррекция задержки при прерывании для образцов, предоставляемых в службу времени Windows (W32time).
Краткий обзор службы времени Windows см. в этом видео.
Дополнительные сведения см. в статье Точное время в Windows Server 2016.
Обзор
Точность часов компьютера оценивается по тому, насколько близки их показания к стандартному времени в формате UTC. Время UTC устанавливается по точным атомным часам, отклонение которых не превышает одной секунды за 300 лет. Однако для считывания времени UTC напрямую требуется специальное оборудование. Вместо этого со временем UTC синхронизируются серверы времени, к которым затем обращаются другие компьютеры. Таким образом достигается масштабируемость и надежность. На каждом компьютере выполняется служба синхронизации времени, которая знает, какие серверы времени следует использовать, и регулярно проверяет необходимость коррекции часов компьютера, при необходимости корректируя время.
Узлы Azure синхронизированы с внутренними серверами времени Майкрософт, которые получают время от принадлежащих Майкрософт устройств Stratum 1 с антеннами GPS. Виртуальные машины Azure могут получать точное время от узла (время узла) непосредственно с сервера времени или использовать эти способы в сочетании.
Взаимодействие виртуальной машины с узлом также может влиять на показания часов. Во время обслуживания с сохранением памяти виртуальные машины приостанавливаются на срок до 30 секунд. Например, до начала обслуживания часы виртуальной машины показывают 10:00:00, и приостановка длится 28 секунд. Когда виртуальная машина возобновляет работу, ее часы по-прежнему показывают 10:00:00, то есть отстают на 28 секунд. Чтобы скорректировать это отклонение, служба VMICTimeSync отслеживает происходящее в узле и запрашивает внесение изменений в виртуальные машины.
Служба VMICTimeSync работает в режиме образца или синхронизации и влияет только на перевод часов вперед. В режиме образца, предусматривающем функционирование службы W32time, служба VMICTimeSync опрашивает узел каждые 5 секунд и предоставляет W32time образцы времени. Примерно каждые 30 секунд служба W32time корректирует гостевые часы, используя для этого последний образец времени. Режим синхронизации активируется, если гостевая система возобновляет работу или при отставании гостевых часов от часов узла более чем на 5 секунд. Если служба W32time функционирует правильно, последнее никогда не происходит.
При отсутствии синхронизации времени на часах виртуальной машины накапливались бы ошибки. При наличии только одной виртуальной машины последствия могут быть незначительными, если только рабочая нагрузка не требует очень точного отсчета времени. Но в большинстве случаев имеется несколько взаимосвязанных виртуальных машин, которые используют время для отслеживания транзакций, поэтому оно должно быть согласовано в масштабе всего развертывания. Если время в виртуальных машинах различается, могут иметь место указанные ниже последствия.
- Проверка подлинности будет завершаться сбоем. Протоколы безопасности, такие как Kerberos, или технологии, зависящие от сертификатов, требуют согласования времени в системах.
- Очень трудно понять, что случилось в системе, если журналы (или другие данные) рассогласованы по времени. Одно и то же событие будет представляться как произошедшее в разное время, что усложняет корреляцию.
- Если часы идут неверно, могут происходить ошибки при выставлении счетов.
Наилучшие результаты для развертываний Windows достигаются при использовании Windows Server 2016 в качестве операционной системы на виртуальной машине, что позволяет пользоваться последними улучшениями в плане синхронизации времени.
Варианты настройки
Конфигурация по умолчанию
По умолчанию образы виртуальных машин с ОС Windows настроены для синхронизации w32time из двух источников:
w32time отдает приоритет поставщикам времени в следующей очередности: уровень страты, задержка корня, дисперсия корня, смещение времени. В большинстве случаев служба w32time на виртуальной машине Azure будет предпочитать время узла из-за оценки, в ходе которой будут сравниваться оба источника времени.
Для присоединенных к домену компьютеров домен сам устанавливает иерархию синхронизации времени, однако корень леса по-прежнему должен получать время откуда-нибудь и описанные ниже особенности соблюдаются.
Только от узла
Переход на синхронизацию времени только с узлом имеет смысл, если возникают проблемы при использовании конфигурации синхронизации по умолчанию. Попробуйте использовать синхронизацию только с узлом и посмотрите, улучшится ли синхронизация времени в виртуальной машине.
Внешний сервер времени
Если предъявляются особые требования к синхронизации времени, можно также воспользоваться внешними серверами времени. Внешние серверы времени могут предоставлять определенное время, что может быть полезно для тестирования, обеспечения одинаковости времени в машинах, размещенных в центрах обработки данных, не принадлежащих Майкрософт, или обработки корректировочных секунд особым образом.
Внешние серверы можно использовать в сочетании со службой VMICTimeSync и поставщиком VMICTimeProvider, что позволяет получить результаты, сходные с конфигурацией по умолчанию.
Проверка конфигурации
Проверьте, настроен ли поставщик времени NtpClient для использования явно заданных NTP-серверов (NTP) или синхронизации времени в домене (NT5DS).
Если виртуальная машина использует NTP, вы увидите такой результат:
Чтобы узнать, какой сервер времени использует поставщик времени NtpClient, в командной строке с повышенными привилегиями введите следующее:
Если виртуальная машина использует сервер по умолчанию, выходные данные будут выглядеть примерно так:
Чтобы узнать, какой поставщик времени используется в настоящее время, введите следующее:
Ниже приведены возможные результаты и их значение.
Включение синхронизации времени только с узлом
Пометьте поставщик VMIC как включенный:
Пометьте поставщик NTPClient как выключенный:
Перезапустите службу w32time:
Виртуальные машины Windows Server 2012 и Windows Server 2012 R2
В Windows Server 2012 и Windows Server 2012 R2 используются разные параметры по умолчанию для синхронизации времени. По умолчанию служба w32time настроена таким образом, чтобы снижать нагрузку на службу в ночное время.
Если вы хотите перевести развертывания Windows Server 2012 и Windows Server 2012 R2 на использование новых параметров по умолчанию, в соответствии с которыми предпочтение отдается точности времени, выполните указанные ниже действия.
Измените интервалы опроса и обновления w32time в соответствии с параметрами Windows Server 2016.
Чтобы служба w32time могла использовать новые интервалы опроса, необходимо пометить NTP-серверы как использующие их. Если серверы помечены битовой маской 0x1, данный механизм переопределяется и служба w32time использует значение SpecialPollInterval. Убедитесь в том, что указанные NTP-серверы используют флаг 0x8 или не используют флаг вообще:
Проверьте, какие флаги используются для NTP-серверов.
Дальнейшие действия
Ниже приведены ссылки на дополнительные материалы по синхронизации времени:
В Windows Server 2012 была значительно переделана консоль управления сервером, и появились новые, ранее не реализованные возможности. Одним из таких нововведений стало отслеживание проблем на управляемом сервере, например, проверка работы служб - если какая-то из служб, которая должна быть запущена, не работает, консоль сигнализирует об этом своему администратору. Однако, есть в Windows Server такие службы, как "Диспетчер скачанных карт" и "Синхронизация узла", которые не смотря на то, что имеют статус запуска "автоматически", фактически прибывают в выключенном состоянии. Разберемся, что это за службы, и что с ними делать.
Назначение служб Диспетчер скачанных карт и Синхронизация узла
Данные службы появились начиная с Windows Server 2016, которая является вариантом Windows 10 для серверов (весьма условно, но все же).
Первая служба - "Диспетчер скачанных карт" (Downloaded Maps Manager) - используется приложением "Карты", и любыми другими программами, которые используют функционал этого приложения, для работы с картами. Если у Вас на сервере таких приложений нет, то можно смело данную службу выключать.
Вторая служба - "Синхронизация узла" - отвечает за синхронизацию данных в приложениях "Календарь", "Контакты", "Почта" и т. д. Опять же, если на сервере нет приложений, которым нужно взаимодействовать с ранее перечисленными, то можно отключать.
Отключение служб Диспетчер скачанных карт и Синхронизация узла
Службы могут иметь название со случайным набором букв и цифр, например OneSyncSvc_21025f1. Причины такого наименования служб, разработчик в виде Microsoft не разглашает.Службу "Диспетчер скачанных карт" можно легко выключить через стандартное управление службами, а вот с "Синхронизация узла" такой способ может не пройти - очень часто может возникнуть ошибка "Параметр задан неверно.", и служба не сменит свой тип запуска на "Отключена".
Для её отключения нужно воспользоваться редактором реестра. Вызываем его с помощью меню Пуск, или выполнения команды regedit , и выполняем следующие действия:
Службы интеграции Hyper-V отвечают за эффективное взаимодействие виртуальных машин и гипервизора посредством установки дополнительных сервисов в гостевую ОС. Для понимания степени важности, предлагаем кратко рассмотреть каждую из них, а также ключевые изменения в Windows Server 2016.
По умолчанию, не все службы включены. Guest Services, как правило, включается по мере необходимости. Остальные отвечают за более важную функциональность.
Operating System Shutdown – включает возможность завершения работы ВМ (аналогия привычного shutdown из гостевой ОС), используя Hyper-V Manager или PowerShell/WMI.
Time Synchronization – отвечает за предоставление синхронизации времени между хостом и виртуальной машины.
Data Exchange или KVP (key-value pairs) – предоставляет функционал обмена значениями формата key + value типа strings, расположенных в ветке реестра HKLM\Software\Microsoft\Virtual Machine\ или в файлах kvp_pool_x (для ОС Linux) через VMbus. На стороне хоста WMI-запросами занимается VMMS.exe (функции AddKvpItems, ModifyKvpItems и RemoveKvpItems). В свою очередь, на ВМ должна быть запущена служба Hyper-V Data Exchange Service.
HKLM\Software\Microsoft\Virtual Machine\Auto содержит информацию о ВМ, которая генерируется во время первого запуска службы Hyper-V Data Exchange Service.
HKLM\Software\Microsoft\Virtual Machine\External содержит данные, отправленные пользователем со стороны хоста. По умолчанию данный раздел пуст и не содержит никаких объектов KVP.
HKLM\Software\Microsoft\Virtual Machine\Guest\Parameters содержит информацию об узле виртуализации (наименование, FQDN, VMID и так далее). Запомните эту ветку – она далее нам пригодится.
Heartbeat отвечает за проверку состояния ВМ через hearbeats, выполняемые в определенный интервал, между ВМ и узлом.
Backup (volume snapshot) включает возможность использования задач резервного копирования ВМ на уровне хоста для обеспечения консистентности резервных копий.
Guest Services обеспечивают передачу файлов в ВМ через WMI или PowerShell (Copy-VMFile). По умолчанию, не включена. Более подробно можно почитать здесь.
Что нужно учитывать в Windows Server 2016?
Все помнят, что для установки служб интеграции приходилось монтировать ISO-образ (%systemroot%\system32\vmguest.iso) через опцию «Insert Integration Services Setup Disk» в консоли ВМ и запускать процесс установки внутри ВМ. Затем проверять версию IS время от времени для её актуализации (vmguest.iso, так же как и узел, тоже обновлялся через Windows Update). Данный процесс существенно поменялся в Windows Server 2016. Опции в консоли теперь нет, как и самого vmguest.iso. Теперь распространением IS на ВМ занимается сам Windows Update. Но есть особенности, которые мы рассмотрим ниже.
Автоматическая доставка IS через Windows Update доступна для новых ОС внутри ВМ (начиная с Windows Server 2012 R2/Windows 8.1 и новее). Дополнительных действий от вас не требуется.
Если гостевые ОС на базе Windows Server 2012/Windows 8 и старше, то требуется наличие рабочей службы Data Exchange Service (рассмотренная выше). DES предоставляет доступ к параметрам /values HostSystemOSMajor и HostSystemOSMinor, располагающимся в ветке HKLM\SOFTWARE\Microsoft\Virtual Machine\Guest\Parameters, для определения необходимости обновления IS на ВМ. Данные параметры должны присутствовать и иметь значения. В противном случае (к примеру, если DES не включен для ВМ или служба не выполняется), IS не будут предоставляться через WU.
TIP: мы можем вручную создать или изменить данные значения реестра для подачи «фальш»-сигнала, но данное действие официально не поддерживается.
Предположим, что в рамках ВМ выполняется Windows Server 2012 R2, а на хосте – Windows Server 2016. DES получает сведения о ВМ, сверяет значения между имеющимися на узле и полученные от ВМ и они оказываются различными, таким образом IS на ВМ не актуальны и их обновление будет выполнено через WU.
В случае с ОС на базе Linux, как правило, IS идут встроенными. В ряде случаев требуется пакет Linux Integration Services или FreeBSD Integration Services. Получить подробные сведения о требованиях к различным дистрибутивам и функциональности можно из статьи «Supported Linux and FreeBSD virtual machines for Hyper-V on Windows».
Если у Вас всё ещё есть виртуализированный Windows Server 2003, который уже не поддерживается, то, как минимум, рекомендуется устанавливать IS, используя vmguest.iso из Windows Server 2012 R2, к примеру. Надежность и производительность не гарантируется, но 2003-й год был уже 14 лет назад. Конечно, миграция на более новые версии ОС будет предпочтительна в данном случае.
Как установить IS вручную?
Если DES не выполняется или Windows Update недоступен из ВМ, то есть специальный KB для самостоятельной загрузки IS «Hyper-V integration components update for Windows virtual machines that are running on a Windows 10 or Windows Server 2016-based host» (доступная в KB версия IS: 6.3.9600.17903) + IS Update для устранения проблем с Windows Server Guest OSes (IS ver.6.3.9600.18080, применим и для Windows 7/8.1).
IS из KB доступен в виде cab-файла, который можно применить через PowerShell: Add-WindowsPackage -PackagePath <path> -Online. Если нужно применить обновление IS на выключенной ВМ (offline vm servicing), то рекомендуем обратиться к данному руководству.
Примечание: более новая версия IS выложена в виде vmguest.iso (смотрите ниже, неофициальный источник загрузки) для упрощения процесса самостоятельного обновления.
Где я могу найти VMGuest.iso?
Загрузить VMGuest.ISO можно здесь. Данный образ содержит IS Windows Server 2012 R2, обновленные на текущий момент (февраль, 2017. Версия IS 6.3.9600.18398). Вы можете использовать их для установки или обновления IS «доисторических» ОС на узлах Windows Server 2016 (миграция на новые ОС предпочтительна) или на узлах Windows Server 2012 R2/Windows 8.1.
Об авторе
Роман Левченко начал свою IT-карьеру в 2007 году и на данный момент работает в качестве Системного Архитектора в лидирующем интеграторе. Имеет опыт построения комплексных систем преимущественно на базе продуктов Microsoft с использованием облачных технологий Azure и широкого спектра аппаратного обеспечения от ведущих вендоров. Сертифицирован по технологиям Windows Server, Hyper-V, System Center, VMware vSphere и системам объединенных коммуникаций. Впервые получил статус MVP в 2014 году и является VMware vExpert с 2016 года. Делится своим практическим опытом по автоматизации (PowerShell), облачным технологиям (Azure, Hybrid/Private Clouds) и виртуализации в блоге, активно участвует в жизни технических сообществ.
Приветствую. OneSyncSvc — служба/сервис для синхронизации почты, контактов, календаря и некоторых других пользовательских данных.
У некоторых пользователей появляется окошко — Прекращена работа программы OneSyncSvc:
В таком случае и правда можно попробовать отключить службу. Отображаемое название на русском — Синхронизация узла (англ Sync Host):
Отключение
Нет уверенности, но возможно отключение службы может вызвать проблемы в метро-приложениях, например почта.
При помощи реестра (инфа взята с форума Майкрософт):
- Зажимаем Win + R.
- Пишем команду regedit, нажимаем ОК.
- Откроется редактор реестра, переходим по такому пути:
Второй способ попробовать отключить — через окно служб:
- Зажимаем Win + R.
- Пишем команду services.msc, нажимаем ОК.
- Откроется список.
- Находим службу, название может быть OneSyncSvc/Sync Host/Синхронизация узла, нажимаем два раза — в меню Тип запуска выбираем Отключена. Также нажимаем кнопку Остановить.
Пример на службе Windows Search:
Использование консоли
На одном сайте были найдены команды отключения/удаления. Последнее делать рекомендую только при созданной заранее точки восстановления. Команды необходимо использовать в командной строке, запустить можно так:
- Правой кнопкой нажимаете по значку Пуск, выбираете пункт командная строка от администратора. Способ для Windows 10.
- Через диспетчер задач — в левом верхнем углу нажимаете Файл > Запустить новую задачу > ставите галочку Создать задачу с правами администратора > указываете команду cmd.exe > нажимаете ОК.
Команда остановки и отключения службы:
sc stop "OneSyncSvc" & sc config "OneSyncSvc" start= disabled
Команда удаления (не рекомендуется):
sc delete "OneSyncSvc"
Надеюсь информация была полезной. Удачи.
Добавить комментарий Отменить ответ
Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.
Прошло уже кучу времени, но в интернете так и не понятно, как отключать эту муть.
В службах на WinServ 2016 висят около 4-5 подобных служб. Как их отключить или сменить статус запуска на "Отключено" или "Вручную"?
При попытке смены выдается ошибка "Неверно задан параметр", хотя ничего кроме типа запуска ничего не меняется.
Кстати заметил, что после каждой обновы меняются числа в имени служб, что очень мешает когда заббикс находит новую службы и приходиться по-новой настраивать игнорирование подобного типа ошибки.
UPD: Вопрос: Как потушить службы в состояние "Вручную" или "Отключено".
Имена меняются в зависимости от пользователя.
Я решил с помощью Powershell DSC, сохранить как Hardening.ps1 и запустить:
Sergey Ryzhkin, гугл с ходу дает больше инфы по s2012, но там не было опции по телеметрии (или раньше не было)
cmd/powershell (с правами админа) + sconfig и сразу все видно
(сервер продукт корпоративный, по этому МС не мог не предоставить ни какого инструмента отключения телеметрии)
Нашел пункты с телеметрией в GPO но там тоже ничего отключается, просто уменьшается уровень сбора данных.
Проблема даже не в этом. Почему я не могу службы отключить или изменить. Из-за чего ошибка.
Sergey Ryzhkin, одиночный, свежеустановленный сервер не должен сопротивляться
ps если заведен дополнительный юзер, с правами администратора или без, тогда надо все таки залогинится в сеанс именно встроенного администратора
Sergey Ryzhkin, вообще то сбор телеметрии у вас отключен. на счет служб.. я бы не парился. скорее всего есть зависимости. варианты:
Windows Server 2016 – Sync Host OneSyncSvc Service PARAMETER is incorrect
Let’s say you want to disable the Sync Host Service on our server…
You will get this Error :The Parameter is Incorrect
And it will not let you disable it
SOLUTION :
First open servives.msc and look for 1 or more Sync Host_xxxx Services in the list. And stop all the services.
Next open Regedit and go to :
ComputerHKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesOneSyncSvc
There might be multiple in the list…
Change the Start value from 2 to 4 (Disabled)
Читайте также: